Руслан Рахметов, Security Vision
В условиях роста числа кибератак и ужесточения требований к защите данных, харденинг становится неотъемлемой частью стратегии кибербезопасности как для крупных компаний, так и для малого бизнеса. В текущей статье мы хотим разобрать, что такое харденинг, зачем он нужен и как встроить его в процессы управления информационной безопасностью. Разбирая киберзащиту и киберинциденты, мы много говорили про обновления программ и управление уязвимостями, но под харденингом понимают процесс усиления безопасности компьютерных систем, серверов, операционных систем, сетей и приложений путём не только устранения потенциальных уязвимостей и снижения поверхности атаки.
Поверхность атаки — это совокупность всех путей, через которые злоумышленник может проникнуть в систему. Чем меньше этих путей, тем выше безопасность. Харденинг помогает минимизировать количество открытых портов, отключить ненужные службы, ужесточить права доступа и обеспечить актуальность программного обеспечения.
Харденинг можно применять в быту, для защиты персональных компьютеров и систем, мы разберем основные принципы этого процесса, но для начала расскажем про то, как он может быть полезен компаниям разного масштаба:
Малый бизнес (магазины, студии, ИП и другие компании с малым числом сотрудников и систем) могут сталкиваться с такими угрозами, как вирусы и вымогатели, слив клиентской базы, взлом сайта и интернет-магазина, потеря доступа к бухгалтерии. Чтобы убрать лишние уязвимости с сайта (например, скрыть админку, отключить FTP), защитить его от захвата для майнинга или спама, ограничить доступ к базе клиентов (только для владельца и бухгалтера) и в целом минимизировать ущерб при вирусной атаке (например, шифровальщик попал в систему, но не может пробраться в облако или кассу) компаниям такого размера можно:
- Настроить двухфакторную авторизацию;
- Удалить лишние плагины CMS;
- Обновить роутер и сменить дефолтный пароль.
Средний бизнес (компании с IT-отделом, внутренней сетью, облаком) сталкивается обычно с другими угрозами, например, внутренние утечки (например, сотрудник уходит с базой клиентов). угрозы через партнеров и подрядчиков, атаки на сайт или API и уязвимости в инфраструктуре DevOps, если она занимается собственной разработкой. Чтобы ограничить доступ сотрудников только к нужным ресурсам, сегментировать сеть (например, чтобы бухгалтерия не имела доступа ко всем данным в CRM, регулярно сканировать серверы на уязвимости и внедрять обновления и централизованно контролировать входы и действия (аудит) – можно реализовать:
- Настройку политики паролей и ротации ключей;
- WAF для защиты веб-приложений;
- Изоляцию контейнеров и сервисов по принципу zero trust;
Крупный бизнес и корпорации же чаще могут стать жертвами целенаправленных APT-атак, компрометации цепочки поставок, попадания внутрь инфраструктуры вредоносов. Поэтому для обеспечения соответствие международным стандартам (ISO 27001, PCI DSS, NIST) и автоматизации обновления и защиты в масштабах всей организации (чтобы сделать инфраструктуру сегментированной и отказоустойчивой) такие компании:
- Внедряют SIEM- и SOAR-системы для мониторинга и реакции;
- Применяют кастомные политики в Active Directory и AzureAD;
- Проводят Red/Blue team тренировки и внешний аудит безопасности.
Таким образом, для защиты среднего и малого бизнеса вендоры разрабатывают простые для установки и использования инструменты (вроде VS Basic для комплексного управления уязвимостями), а крупным компаниям, которым требуются многочисленные интеграции в работе их процессов, предлагают решения автоматизации и оркестрации (например, направление SOT продуктовой линейки Security Vision), включающие SIEM, XDR, SOAR, TIP и другие продукты вместе с решениями класса Security Profile Compliance (SPC) для управления харденингом.
Основными принципами харденинга, заложенными в решения SPC являются:
- Минимизация компонентов и сервисов — установка только необходимых программ и удаление всего лишнего. Как если бы вы на кухне оставили только те приборы, которые используете каждый день, а всё остальное убрали в шкаф, отключили ненужные уведомления в телефоне, чтобы они не отвлекали и не перегружали систему или сдали старую ненужную одежду на благотворительность, переработку или в магазин для получения скидки на новую закупку, а еще чтобы быстрее находить нужные элементы гардероба.
- Ограничение прав доступа — применение принципа наименьших привилегий, как если бы вы отключили возможность установки программ ребенку или разрешили гостю использовать Wi-Fi, но не получить доступ к вашему принтеру (например, через сеть роутера на второй частоте). Это звучит логично, если вы представите эти права доступа как ключи к дому: дать их нужно только членам семьи, а не всем соседям.
- Регулярное обновление — установка актуальных патчей и обновлений. Работает это как прививки, которые чтобы не заболеть нужно делать вовремя и регулярно, как подкачка шин и смена масла в машине — поддержание систем в актуальном состоянии и с закрытыми багами и «глюками».
- Шифрование — защита данных в покое и в передаче. Это как отправить письмо в закрытом конверте, а не на открытке или хранить деньги не в «банке» под матрасом, а в банке или сейфе с кодом. Обеспечить шифрование сайта, например, можно применив HTTPS вместо HTTP.
- Изоляция сервисов — каждый сервис должен работать изолированно, по возможности — в контейнере или виртуальной машине. Если представить себе большой шкаф или кладовку, то принцип изоляции можно было бы описать хранение бытовой химии отдельно от продуктов, а если рассматривать работу в браузере, просмотр контента на умном телевизоре или организацию библиотеки на игровой приставке – с применением разных профилей для разных людей.
- Мониторинг и аудит — логирование событий, обнаружение подозрительной активности. Работает этот принцип, как видеонаблюдение в подъезде (видно, кто зашёл и когда), проверка истории браузера (чтобы узнать, кто и что делал, или наоборот удалить историю последних активностей) или как счётчики воды и света — можно отследить всплески и понять, где утечка.
Так, например, его можно применить для операционных систем Linux и Windows: удаление ненужных пакетов (например, FTP, Telnet), настройка файрвола (UFW, firewalld, iptables), ограничение доступа по SSH (отключение root-доступа, MFA), управление доступом (SELinux или AppArmor), отключение SMBv1, удаление устаревших служб, применение групповых политик безопасности, использование BitLocker для шифрования дисков и обновления через WSUS или Intune.
Харденинг сети проводится за счет ограничения открытых портов и услуг (например, блокировка Telnet, SNMPv1), использования VPN и сегментации сети, внедрения IPS/IDS систем, принудительного шифрования трафика (TLS, IPsec), HSTS для веб-приложений.
Харденинг баз данных и приложений поводится через удаление дефолтных пользователей и паролей, ограничение IP-доступа к СУБД, настройку ротации логов и шифрования хранимых данных, использования WAF и обновления движков и зависимостей (npm, pip, composer и др.).
Совмещая шесть принципов, харденинг помогает уменьшить поверхность атаки, о которой мы упоминали в самом начале обзора, а с применением платформ автоматизации этот процесс можно серьезно ускорить и снизить дополнительно вероятность пропустить что-то важное или совершить ошибку. Дополнительно этот инструмент часто связан с процессами и технологиями по поиску и устранению уязвимостей для снижения количества уязвимых мест, усложнения входа для злоумышленника. И даже в режиме мониторинга позволяет обеспечить раннее выявление и локализацию проблем и повысить общий контроль над системой.
Харденинг работает как профилактическая настройка: он снижает вероятность успешной атаки, устраняя слабые места до того, как ими воспользуется злоумышленник. Это не разовое действие, а постоянный процесс, который требует системного подхода и регулярного аудита. Его задача — не только устранить текущие уязвимости, но и создать такую архитектуру, в которой атаки будут маловероятны или малорезультативны. В эпоху цифровых угроз пренебрегать харденингом — значит подвергать риску не только данные, но и репутацию бизнеса.
